CVE-2025-20281 — 神龙十问 AI 深度分析摘要
CVSS 10.0 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Cisco ISE/PIC 存在注入漏洞,源于输入验证不足。 💥 **后果**:攻击者可执行**任意代码**,直接控制底层系统。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-74(外部控制元字符串)。 📍 **缺陷点**:特定 API 端点未对用户输入进行充分校验,导致注入。
Q3影响谁?(版本/组件)
🏢 **厂商**:Cisco(思科)。 📦 **产品**:Cisco Identity Services Engine (ISE) 及 ISE-PIC 组件。
Q4黑客能干啥?(权限/数据)
👑 **权限**:以 **root** 身份执行命令。 📂 **数据**:完全控制受影响设备,可窃取数据或横向移动。
Q5利用门槛高吗?(认证/配置)
🚪 **认证**:**无需认证**(Unauthenticated)。 🌐 **配置**:远程即可利用,门槛极低。
Q6有现成Exp吗?(PoC/在野利用)
💻 **Exp**:已有多个 Python PoC 公开。 🔗 **来源**:GitHub 上有针对 ERS API 的自动化利用脚本。
Q7怎么自查?(特征/扫描)
🔎 **检测**:扫描 ERS API 的 `/ers/sdk#_` 端点。 📝 **特征**:在 `InternalUser` 的 `name` 参数中注入命令测试响应。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方**:Cisco 已发布安全公告(cisco-sa-ise-unauth-rce)。 📅 **时间**:2025-06-25 公布。
Q9没补丁咋办?(临时规避)
⚠️ **规避**:若无补丁,需限制 ERS API 访问权限。 🚫 **建议**:阻断外部对 ISE API 端点的未授权访问。
Q10急不急?(优先级建议)
🔥 **优先级**:**极高**(CVSS 9.8)。 🚀 **行动**:立即修补,这是无认证 RCE,风险极大。